locked
TMG 2010 SAN Zertifikat RRS feed

  • Frage

  • Hallo !

     

    Folgende Konstellation ist momentan im Einsatz:

    Edge Server, FFP for Exchange und TMG 2010 Standard auf einem Host in der DMZ ( eigene Arbeitsgruppe ).

    Exchange 2007 SP2 im internen Netz.

    Connection Exchange <-> Edge funktioniert ohne Probleme.

    Ich habe ein SAN Zertifikat für den Exchange erstellt ( einege CA ) und im internen Netz funktioniert es Problemlos. Nur schaffe ich es nicht die Dienste OWA und Active Sync am TMG zu veröffentlichen. Egal was ich probiere, ich bekomme immer:

    Die vom Microsoft Forefront TMG-Firewalldienst ermittelte Dauer: 0,002 Sekunden
    https://servername.domain.lokal:443/OWA/ wird getestet.
    Kategorie: Fehler beim Zielserverzertifikat
    Fehlerdetails: 0x80090322 - Der Zielprinzipalname ist falsch.
    Aktion: Gehe zu http://go.microsoft.com/fwlink/?LinkId=115965

     

    Am Exchange ist z.B. OWA wie folgt konfiguriert:

    interner Pfad: https://servername.domain.lokal/owa

    externer Pfad: https://webmail.domain.com

    Am TMG ist sowohl das ROOT Zertifikat der CA drin als auch das SAN Zertifikat des Exchange Servers.

     

    Ich weiss leider nicht mehr weiter. Hoffe Ihr könnt mir weiterhelfen.

     

    lG aus Wien

     

    Patrick

     

    Dienstag, 13. Juli 2010 11:01

Antworten

  • Hi,

    bis einschliesslich TMG ohne SP1 wird (bei deutschen Systemen) beim SAN Zertifikat der erste SAN des SAN Zertifikats fuer Intern verwendet. Du musst also entweder in der HSOSTS Datei den ersten SAN so umbiegen, dass er auf den Exchange CAS zeigt oder das Zertifikat neu ausstellen, so dass der SAN zum Veroeffentlichungsnamen passt. Mit TMG SP1 soll das Problem mit dem SAN Namen behoben sein, bzw. taucht es nur bei deutschen TMG Systemen auf.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 13. Juli 2010 11:51

Alle Antworten

  • Hallo Patrick,

    die Fehlermeldung "Fehlerdetails: 0x80090322 - Der Zielprinzipalname ist falsch." deutet darauf hin, dass du in der Veröffentlichungsregel als Weiterleitungsserver einen FQDN verwendest, der nicht im Zertifikat enthalten ist.

    Wenn dein Zertifikat z.B. auf msx.domain.local, autodiscover.domain.tld und mail.domain.tld ausgestellt ist, dann darfst du auch nur diese FQDNs als Weiterleitungsserver verwenden. Wenn du anstelle des FQDN die IP-Adresse des internen Exchange einträgst, erhälst du z.B. die gezeigte Fehlermeldung.

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    Dienstag, 13. Juli 2010 11:42
  • Hi,

    bis einschliesslich TMG ohne SP1 wird (bei deutschen Systemen) beim SAN Zertifikat der erste SAN des SAN Zertifikats fuer Intern verwendet. Du musst also entweder in der HSOSTS Datei den ersten SAN so umbiegen, dass er auf den Exchange CAS zeigt oder das Zertifikat neu ausstellen, so dass der SAN zum Veroeffentlichungsnamen passt. Mit TMG SP1 soll das Problem mit dem SAN Namen behoben sein, bzw. taucht es nur bei deutschen TMG Systemen auf.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 13. Juli 2010 11:51
  • Treffer versenkt.

     

    Das SAN Zertifikat hatte als ersten SAN localhost. Nachdem ich das Zertifikat neu ausgestellt habe funktioniert es einwandfrei.

     

    Vielen DANK !

     

    lG aus Wien

     

    Patrick

    Dienstag, 13. Juli 2010 12:01
  • moin patrick,

    wie san's ua für exchange beantragt werden können, habe ich hier mal zusammengefasst:
    http://blog.forefront-tmg.de/?p=250


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 13. Juli 2010 15:43